企业建设趋势：数据中心安全

数据中心与网络

　　随着越来越多的大型企业青睐集中运行的IT部署方式，国内大量企业经营活动的各种业务系统都逐渐向Internet和Intranet环境靠拢。作为这种集中模式的代表，数据中心的出现极大地促进了企业业务的发展。但与此同时，受制于数据中心对网络的依赖，Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，也对安全提出了更高的要求。

　　新华人寿IT经理表示，一旦数据中心系统安全受到严重威胁，甚至处于瘫痪状态，将会给企业、社会、乃至整个国家带来巨大的经济损失。如何使企业的数据中心运行在安全的环境下，使其免受黑客攻击、病毒、木马、恶意程序的入侵，已成为数据中心安全建设的重点。

　　对此，新华人寿确立了数据中心安全与企业网络安全的互动战略。在企业数据中心不断发展的同时，网络规模也在不断地扩大，并在不同的地区建有分公司或分支机构，本地庞大的企业内网和分布在全国各地的网络之间互相连接形成一个更加庞大的网络。在这个庞大的网络中，数据中心与网络的紧密联系是安全战略的重点。

　　在此基础上，新华人寿提出了数据中心与企业网络共生关系的三大安全法则。

　　第一，确保Internet的安全性。目前互联网应用越来越广泛，黑客与病毒无孔不入，这极大地影响了Internet的可靠性和安全性。保护Internet、加强网络安全建设，从应用的角度看，属于数据中心安全的一部分。

　　第二，确保内网的安全性。与数据中心联系最为紧密的，就是企业内网。内部网络存在的安全隐患主要有：未授权访问；破坏数据完整性；拒绝服务攻击；计算机病毒传播；缺乏完整的安全策略；缺乏监控和防范技术手段；缺乏有效的手段来评估网络系统和操作系统的安全性；缺乏自动化的集中数据备份及灾难恢复措施等。

　　比如常见的计算机病毒在企业内部网络传播；内部网络可能被外部黑客攻击；对外的服务器（如：WWW、FTP、邮件服务器等）没有安全防护，容易被黑客攻击；内部某些重要的服务器或网络被非法访问，造成信息泄密；内部网络用户上网行为没有有效监控管理，影响日常工作效率，容易形成内部网络的安全隐患。无疑，这些问题都需要进行相应的安全部署与化解。

　　第三，确保数据中心与分支机构的安全性。在数据中心与分支机构的连接中，安全问题不可忽视。其中典型的有：大量的垃圾邮件占用网络和系统资源，影响正常的工作；分支机构网络和总部网络连接安全和数据交换之间的安全问题；远程、移动用户对公司内部网络的安全访问。而这些也是新华人寿需要确保的安全重点。

部署防御体系

　　当然，对于不同规模的公司，其实现的安全方式也不尽相同。对于老牌的中国人寿来说，他们提出，要想在数据中心和网络的边缘做到完整防护，至少需要做到以下几点。

　　第一，部署高性能的防火墙、防病毒网关。这类产品能够在企业网络边缘实现病毒检测、拦截和清除的功能。中国人寿在总部、分支机构网络边缘分别布置不同性能的产品，以便保护总部和分支机构内部网络和对外服务器不受黑客的攻击。同时，通过VPN功能，为分支机构、远程、移动用户提供一个安全的远程连接。

　　第二，配置安全预警系统。在企业内部，中国人寿配置了一些相关的安全预警系统作为辅助系统。此类安全预警系统集病毒扫描、入侵检测和网络监视功能于一身，它能实时捕获网络之间传输的所有数据，利用内置的病毒和攻击特征库，通过使用模式匹配和统计分析的方法，检测出网络上发生的病毒入侵、违反安全策略的行为和异常现象，并在数据库中记录有关事件，作为事后分析的依据。

　　中国人寿的安全专家表示，建设安全预警系统的目标是：全面、准确、高效、稳定、安全、快速。全面是指能检测已知的各种病毒和攻击；准确是指检测的结果准确，误报率低；高效是指检测引擎的运行效率高，由于现在的网络带宽越来越宽，只有高效的引擎才能在检测时不丢包；稳定是指系统运行稳定可靠；安全是指预警系统自身的安全，由于引擎中保存了大量检测到的敏感信息，因此对其自身的保护是十分重要的；快速是指对新的漏洞和新的攻击方法反应快，系统升级简便。

　　第三，开展有针对性的网络边缘防护。中国人寿在实施了多种安全系统之后，开展了针对HTTP、FTP、SMTP和POP3协议的内容检查、病毒清除的工作。同时，通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系，不但可以保护数据中心资源不受外来的侵犯，同时可以阻止内部用户对外部不良资源的滥用。

　　目前来看，中国人寿的防御方案可以对各种应用协议具有100%的记录能力。有些安全级别较高的部门甚至要求内部员工上网信息识别粒度达到每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控，可以规范网络内部的上网行为，提高工作效率，同时避免对企业内部数据中心的运行产生安全隐患。

　　在部署防御体系的同时，对于数据中心的安全管理也不能忽视。对此，中国人寿青睐灵活的安全控制台和基于Web的管理方式。与三年前不同的是，目前有越来越多的安全厂商开始在各自的安全产品中提供灵活的控制台管理和Web管理两种方式。

　　通过应用这两种管理方式，中国人寿的IT经理可以在数据中心中灵活、简便地根据企业的实际情况设置、修改安全策略。而对于数据中心与网络的连接，类似的控制方式也便于管理员及时掌握了解当前的运行信息。

　　另一个好的现象是，中国人寿已经根据自身情况进行了模块化的安全组合，并制定了分析日志和安全统计报表的制度，这种工作方式有些时候比单独的产品更加重要。据介绍，中国人寿的数据中心安全防御方案中都包括相应的报表系统，这些系统可以自动生成各种形式的攻击统计报表，形式包括日报表，月报表，年报表等。中国人寿的IT经理通过来源分析、目标分析、类别分析等多种分析方式，可以以直观、清晰的方式从总体上分析企业内部发生的各种事件，有助于管理人员提高对数据中心的安全管理。

关注DDoS攻击

　　说到数据中心安全，另一个现象不可不提。随着Internet用户上网带宽的增加和互联网上多种DDoS黑客工具的不断发布，DDoS攻击的实施越来越容易，DDoS攻击事件正在呈上升趋势。由于商业竞争、打击报复和网络敲诈等多种因素，很多企业的数据中心长期以来一直为DDoS攻击所困扰。随之而来的是客户投诉、法律纠纷、客户流失等一系列问题。因此，解决DDoS攻击问题成为数据中心必须考虑的头等大事。

　　目前，针对数据中心的DDoS攻击主要分为两种，一种是基于弱点的攻击，主要是利用某个网络协议、应用设计或执行上的弱点。这种攻击一般产生的数据流量比较低，并且攻击数据包的类型和内容都比较特殊，很容易通过打补丁或使用防火墙/IPS等安全设备来进行检测和防御。典型的基于弱点的攻击有TearDrop、Land、Jolt、IGMPNuker、Boink、Smurf、Bonk、OOB等等。

　　另一种为基于泛洪的攻击，主要是针对资源的攻击，即通过大量攻击包导致网络带宽、主机的内存或CPU被耗尽而无法提供网络服务。这种攻击一般产生的数据流量都比较高，并且攻击数据流通常由合法的数据包组成，很难通过安全设备进行检测和防御。典型的泛洪攻击有SYNFlood、UDPFlood、ICMPFlood等等。

　　对此，大连瓦房店轴承集团的IT经理表示，对于制造企业而言，DDoS攻击对于企业的生产力有致命的影响。在此条件下要想确保企业数据中心的安全，只有从纵深防御的思路来部署防御措施。

　　根据美国《NetworkWorld》的统计，在对数据中心的大多数攻击事件中，攻击者和目标通常并非直接相连，两者要经过很多网络节点才能进行通信。所以瓦轴的安全专家采取了在受保护系统之前部署安全屏障的做法，以缓解系统的压力。这些措施包括：网络设备自身的服务与端口的加固；异常流量监控；防火墙系统部署；IPS系统部署；负载均衡设备的部署；主机加固。

　　瓦轴集团认为，网络设备自身的服务与端口的加固是所有防御措施中的重中之重。为此，他们在数据中心所有的路由器、交换机上进行了设备自身服务与端口的加固，如启用uRPF、设置访问控制列表（ACL）过滤。具体包括：远程登录访问列表限制；登录权限分级保护；开启设备日志功能；修改网管团体字符串；关闭不需要的网络服务；禁止源路由；关闭厂家专有协议；过滤RFC1918报文；关闭定向广播；关闭ICMP重定向；关闭ProxyARP；启用uRPF；ACL过滤蠕虫报文；启动路由验证功能。

　　此外，瓦轴集团在数据中心出口处部署异常流量监测系统，主动检测和追踪网络范围的异常现象，如分布式拒绝服务攻击和蠕虫等。这样一来，当异常流量发生时做到自动发现、记录以及告警。这就能为网络维护人员在网络还没受影响，服务还没发生问题和用户还没投诉时，提供快速解决这些安全威胁所需的信息资料。

　　据介绍，异常流量监测系统可以实时提供对数据中心网络异常的连续检测，系统具有自动学习的功能，可以从数据中心出口核心路由器上采集数据流来学习数据中心网络和用户的流量行为，从而形成适应数据中心网络和用户行为的正常流量模型。当网络中发现大的带宽突发或者说流量行为异常时，系统会自动捕捉并进行报警。对于一些明显的攻击性行为，如常见的DoS/DDoS攻击滥用即使在流量相对不大的情况下，异常流量监测模块也能够做到自动发现、记录以及告警。

　　瓦轴集团表示，防御DDoS还需要依赖防火墙的支持。先进的防火墙产品能够有效识别和处理数据包的深层内容，有助企业设置更加细致的过滤。为此，瓦轴集团选用了一些支持DDoS防御的防火墙，这些设备可以在很大程度上增强数据中心的防御能力，并且可以做到不对数据包进行完全检查就可以发现“恶意行为”。

　　根据IDC的建议，瓦轴集团在防火墙上作了如下配置：禁止对主机非开放服务的访问；限制同时打开的数据包最大连接数；限制特定IP地址的访问；启用防火墙的防DDoS的属性；严格限制对外开放的服务器的向外访问，以防止数据中心内的服务器被当作工具攻击他人。这样就可以更好地防御DDoS攻击。

　　此外，IPS、负载均衡和主机加固技术在业内被称作数据中心防御DDoS攻击的三驾马车，对此，瓦轴集团也相当看好，并打算在未来一年内陆续部署。据介绍，IPS串联在数据中心网络里，可以在跟踪流状态的基础上对报文的二层到七层进行深度检测并主动进行防御，在DDoS威胁发生前成功地检测并阻断。IPS也能够有效防御针对路由器、交换机、DNS服务器等网络重要基础设施的攻击，对数据中心提供最大限度安全保护。

　　用灵活性确保安全

　　对数据中心来说，无论是防御病毒、木马还是复杂的DDoS攻击，单纯的层层设防仍旧无法做到万无一失。有安全专家表示，在建设数据中心之初就采用灵活的部署模式，则可以大大降低数据中心所面临的安全风险。